เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี
UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย
มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ:
- ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง
- หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน
- ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA
เทคนิคนี้ช่วยให้มัลแวร์:
- หลบหลีก endpoint detection software ได้ดีขึ้น
- ทำงานได้ทั้งแบบ online และ offline
- มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า
Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต
ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept
UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object
ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้
Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่
หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน
มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange
มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี
Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser
แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา
Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll
และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ
https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/
UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย
มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ:
- ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง
- หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน
- ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA
เทคนิคนี้ช่วยให้มัลแวร์:
- หลบหลีก endpoint detection software ได้ดีขึ้น
- ทำงานได้ทั้งแบบ online และ offline
- มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า
Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต
ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept
UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object
ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้
Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่
หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน
มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange
มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี
Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser
แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา
Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll
และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ
https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/
🎙️ เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี
UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย
มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ:
- ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง
- หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน
- ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA
เทคนิคนี้ช่วยให้มัลแวร์:
- หลบหลีก endpoint detection software ได้ดีขึ้น
- ทำงานได้ทั้งแบบ online และ offline
- มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า
✅ Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต
➡️ ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept
✅ UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object
➡️ ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้
✅ Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่
➡️ หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน
✅ มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange
➡️ มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี
✅ Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser
➡️ แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา
✅ Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll
➡️ และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ
https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/
0 Comments
0 Shares
72 Views
0 Reviews
Thai